Угрозы первой половины 2017 года::Журнал СА 9.2017
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

Книжная полка  

От создания сайтов до разработки и реализации API

В издательстве «БХВ» недавно вышли книги, которые будут интересны системным администраторам, создателям

 Читать далее...

Разбор полетов  

Ошибок опыт трудный

Как часто мы легко повторяем, что не надо бояться совершать ошибки, мол,

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6194
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 6903
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4188
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 2989
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3795
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3805
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6299
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3152
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3446
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7263
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10628
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12352
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 13982
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9110
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7064
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5375
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4604
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3414
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3145
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3392
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3013
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Угрозы первой половины 2017 года

Архив номеров / 2017 / Выпуск №9 (178) / Угрозы первой половины 2017 года

Рубрика: Безопасность /  Угрозы

Андрей Бирюков Андрей БИРЮКОВ, ведущий эксперт по информационной безопасности, abiryukov@samag.ru

Угрозы первой половины 2017 года

Наблюдение за трендами атак и угроз позволяет заранее подготовиться, а возможно, и предотвратить ущерб. Посмотрим, какие угрозы были актуальны во втором квартале 2017 года

Угрозы первой половины 2017 годаНа сегодняшний день наиболее опасными в мире информационной безопасности можно назвать целевые атаки (APT) и сложные киберугрозы. По данным «Лаборатории Касперского», в период с апреля по июнь киберпреступники применили несколько новых и усовершенствованных старых инструментов, в том числе три эксплойта нулевого дня дляWindows. При этом данные инструменты использовали в своей деятельности русскоговорящие группировки Sofacy и Turla. Sofac. Основными целями этих атак были правительственные и политические организации в Европе. Группировка также была замечена в тестировании нескольких оригинальных инструментов на основе макросов вофисных документах. Наиболее примечательным из этих тестов стала атака на члена одной из французских политических партий перед национальными выборами во Франции.

Рассматривая географию хакерских группировок, стоит отметить, что в период с апреля по июнь этого года наиболее активно проявили себя кибершпионские группировки, говорящие на русском, английском, китайском и корейском языках, а также группы, действующие на Ближнем Востоке. Столь широкий разброс подтверждает тезис о том, чтокиберпреступность идет по пути глобализации, атакуя цели по всему миру.

WannaCry и ExPetr

Во втором квартале все мы стали свидетелями (а многие, возможно, и потерпевшими) двух атак мирового масштаба: WannaCry и ExPetr. Эти атаки совершенно разные как по своей сути, так и по преследуемым целям.

Зловред WannaCry распространялся очень быстро – более 45 000 заражений за одни сутки (Европол позже заявил, что число жертв WannaCry, по его оценкам, составило не менее 200000 человек). При этом наибольшее число атак наблюдалось в России, также пострадали пользователи на Украине, в Индии, на Тайване и еще в 74 странах.

Причиной столь быстрого распространения WannaCry стала незакрытая администраторами Windows-систем уязвимость, закрытая обновлением безопасности MS17-010. Данное обновление Microsoft выпустила за месяц до начала атаки. Зловред использовал Windows-эксплойт EternalBlue. Многие организации так и не установили обновление безопасности, так что злоумышленники смогли получить удаленный доступ к их корпоративным системам и ко всем непропатченным компьютерам в сети. Как и любой шифровальщик, WannaCry шифрует файлы на зараженном компьютере и требует выкуп за их расшифровку. При этом размер выкупа менялся от $300 до $600.

Однако эксперты «ЛК», проанализировав код WannaCry, пришли к выводу, что качество кода низкое, разработчики допустили много ошибок, из-за чего многие зараженные пользователи смогли самостоятельно восстановить зашифрованные данные.

При этом исследователям удалось выяснить, что Wanna-Cry в процессе работы пытается установить соединение с определенным сайтом. Если это не удается, зловред продолжает работу, если же подключение успешно, WannaCry прекращает работу. После того как британский исследователь зарегистрировал домен и перенаправил все запросы к нему на такназываемый sinkhole-сервер, используемый зловредом, распространение вымогателя существенно замедлилось.

Какая именно хакерская группировка причастна к WannaCry, остается загадкой. Однако ряд экспертов, в том числе «Лаборатория Касперского», нашли сходство фрагментов кода изWannaCry и вредоносного кода Lazarus, появившегося примерно в то же время. Однако делать какие-то выводы и утверждать, что WannaCry является детищем группы Lazarus, слишком рано.

Зловред ExPetr (также известен, как Petya, Petrwrap и NotPetya), появившийся в конце июня, был нацелен в первую очередь на компании на Украине, в России и Европе. Общее числожертв составило около двух тысяч.

По своей сути, ExPetr – это видоизмененная версия уже упоминавшегося эксплойта EternalBlue и еще одного эксплойта, опубликованного группой Shadow Brokers и получившего название EternalRomance. Шифровальщик распространялся под видом обновлений к M.E.Doc – программе для электронного документооборота украинского производства. После активации в сети жертвы зловред c помощью специальных инструментов извлекает учетные данные из процесса lsass.exe и передает их инструментам PsExec или WMIC, которые далее распространяют их внутри сети. Затем NotPetya выжидает от 10 минут до часа, видимо, чтобы обмануть антивирус, после чего перезагружает компьютер, шифрует таблицу MFT и файлы в NTFS-разделах. В завершении зловред перезаписывает главную загрузочную запись кастомным загрузчиком, который содержит требование выкупа. За ключ расшифровки злоумышленники просили аналог $300 в биткоинах, при этом выкуп следовало отправить на единый bitcoin-счет. Злоумышленники просили жертв для подтверждения оплаты отправлять номера кошельков по адресу электронной почты wowsmith123456@posteo.net, который был оперативно отключен, что существенно ограничило возможности заработка для злоумышленников. При этом стоит отметить, что, по мнению экспертов «ЛК», даже в случае выплаты выкупа злоумышленники не смогут расшифровать файлыжертвы.

Также 27 июня, одновременно с ExPetr, через обновления к M.E.Doc распространялся еще один вымогатель, названный FakeCry, атаковавший преимущественно организации натерритории Украины. Несмотря на сходство интерфейса и сообщений FakeCry и WannaCry, вымогатели принадлежат к совершенно разным семействам. Эксперты не могут дать однозначный ответ, связаны ли между собой FakeCry и ExPetr, на это может указывать тот факт, что оба зловреда распространялись в одно время через обновления к M.E.Doc.

Подводя итог, стоит отметить, что WannaCry и ExPetr оказались одинаково неэффективными с точки зрения вымогательства. Экспертный анализ позволяет предположить, чтовредоносная активность была начата злоумышленниками до того, как был полностью дописан код. Это в свою очередь наводит на мысль, что настоящей целью атак было уничтожение данных, а не получение денег. Учитывая размер ущерба, причиненного компаниям по всему миру, эксперты «Лаборатории Касперского» не исключают, что WannaCry иExPetr станут лишь началом нового тренда в мире киберпреступности.

Исследуем APT

Теперь поговорим о сложных целевых атаках, которые также имели место во втором квартале этого года. В качестве примера рассмотрим деятельность хакерской группировки Lazarus. Данная группа в феврале 2016 года смогла перевести со счетов Центрального банка Бангладеш 81 миллион долларов. Это крупнейшее и наиболее успешное кибер-ограбление на сегодняшний день. Также в активе Lazarus атака на Sony Pictures в 2014-м и атаки на промышленные компании, СМИ и финансовые учреждения в 18 странах по всему миру.

Сегодня наиболее опасными в мире информационной безопасности можно назвать целевые атаки (APT) и сложные киберугрозы

Исследовав проведенные данной группировкой атаки на финансовые учреждения в Европе и Юго-Восточной Азии, эксперты «ЛК» смогли установить некоторые методы работы группы Lazarus. Первоначальная компрометация обычно происходит при взломе одного компьютера банковской сети – это либо компрометация корпоративного сервера, либо атака типа watering hole – заражение кодом эксплойта легитимного веб-сайта, к которому обращаются сотрудники целевой организации. Затем злоумышленники заражают другие хосты вкорпоративной сети организации и запускают на зараженных компьютерах элементарный бэкдор. После этого в течение некоторого времени (нескольких дней или даже недель) киберпреступники выявляют ценные ресурсы в сети организации. И, наконец, они разворачивают специальное вредоносное ПО для обхода средств внутренней безопасности ипроведения фальшивых банковских транзакций.

Несмотря на то что Lazarus прикладывает значительные усилия для сокрытия преступной активности, экспертам удалось обнаружить и обследовать командный сервер, ранее использованный данной группой.

В результате обследования было выявлено, что атакующий подключился к нему через службы Terminal Services, вручную установил сервер Apache Tomcat, используя локальный браузер, сконфигурировал его при помощи Java Server Pages (JSP) и загрузил JSP-скрипт для командного сервера. Когда сервер был готов, атакующий начал его тестировать сначала спомощью браузера, а потом запуская тестовые экземпляры своего бэкдора. Злоумышленник использовал различные IP-адреса – от Франции до Южной Кореи – и подсоединялся через прокси- и VPN-серверы. При этом одно короткое соединение было выполнено из очень необычного диапазона IP-адресов, который соотносится с Северной Кореей.

После этого злоумышленник установил стандартное ПО для майнинга криптовалюты Monero – это ПО так интенсивно расходовало системные ресурсы, что система переставала отвечать и зависала. Возможно, по этой причине система не была должным образом очищена, и на нем сохранились журналы сервера.

Привязка к Северной Корее, безусловно, интересна, но из этого нельзя сделать вывод, что за всеми атаками группы стоит Северная Корея – обращение к командному серверу ссеверокорейского IP-адреса могло быть случайным либо намеренной инсценировкой в целях дезориентации.

Хищения из банкоматов

На прошедшей в этом году конференции Security Analyst Summit исследователи «Лаборатории Касперского» представили несколько случаев кражи денег из банкоматов.

В первом случае зловред ATMitch компрометировал банковскую инфраструктуру и получал удаленный контроль над работой банкоматов. Злоумышленники проникали на серверы банка, эксплуатируя незакрытую уязвимость. Далее они заражали компьютеры в банковской сети, используя публично доступные инструменты. При этом их вредоносное ПОсуществовало только в оперативной памяти компьютеров и не сохранялось на жесткие диски, так что при перезагрузке компьютера практически все его следы терялись. После заражения злоумышленники устанавливали соединение с командным сервером и получали возможность удаленно устанавливать на банкоматах вредоносное ПО. Защитные механизмы при этом не срабатывали, поскольку действия маскировались под обновление ПО банкоматов. После установки зловред искал в системе банкомата файл command.txt, содержащий управляющие устройством односимвольные команды. Далее он «определял», сколько денег находится в банкомате, а затем давал команду на выдачу денег, которые забирал ожидающий у банкомата человек, так называемый мул. После этого зловред записывал всю информацию об операции в файл регистрации и полностью удалял содержимое файла command.txt.

Беспокойство сотрудников банка вызвало наличие на банкоматах одного-единственного файла kl.txt. Специалисты «ЛК», к которым обратились представители банка, начали расследование инцидента. С помощью YARA-правила для поиска этого файла по системам «ЛК» специалисты обнаружили, что он попадал в их поле зрение дважды – один раз вРоссии и один раз в Казахстане. Произведя анализ зловреда методом обратного инжиниринга, эксперты вскрыли общие механизмы проведения атаки.

Банкомат-призрак

В другой атаке из банкомата пропадали деньги, при этом журналы банкомата были чисты, а данные камеры видеонаблюдения оказались перезаписаны. Банк предоставил специалистам «Лаборатории Касперского» банкомат для исследования. В нем был обнаружен Bluetooth-адаптер, подсоединенный к USB-концентратору банкомата. После егоустановки злоумышленники выждали три месяца (чтобы журнал банкомата перезаписался), вернулись, закрыли видеокамеры, при помощи Bluetooth-клавиатуры перезапустили банкомат в сервисном режиме и забрали из диспенсера деньги.

Метод грубой силы

В еще одной атаке преступники действовали гораздо грубее: в банкомате обнаружилось отверстие около 4 см в диаметре, проделанное около клавиатуры. Специалистам «ЛК» были известные и другие подобные атаки на банкоматы в России и Европе. Ситуация прояснилась, когда полиция задержала подозреваемого с ноутбуком и какими-то проводами. Для того чтобы выяснить, к чему злоумышленник пытался получить доступ через отверстие, специалисты вскрыли банкомат и обнаружили 10-штыревой разъем, подсоединенный к шине, которая связывает все компоненты банкомата. При этом было выявлено, что система шифрования слабая и легко может быть взломана. Получив доступ к любому компоненту банкомата, можно было легко контролировать все остальные, а поскольку никакой авторизации между компонентами не было, то любой из них легко можно было подменить.

Специалисты «ЛК» собрали простую схему, которая после подсоединения к шине позволила контролировать банкомат, в т.ч. отдавать команды на выдачу денег.

Стоит отметить, что, по словам исследователей, решить эту проблему не так-то просто – нужно поменять аппаратное обеспечение, а это нельзя проделать удаленно. То есть, чтобы провести такую замену, ко всем таким банкоматам должен выехать обслуживающий персонал.

Опасный IoT

Интернет вещей (IoT-устройства) все чаще привлекает внимание хакеров. В качестве примера можно привести ботнет Mirai, который в 2016 году блокировал работу определенного сегмента интернета, заразив и взяв под контроль такие домашние устройства, как видеорегистраторы, камеры видеонаблюдения и принтеры.

Другой зловред Hajime заражает небезопасные IoT-устройства с открытыми Telnet-портами и стандартными паролями. Hajime представляет собой огромный P2P-бот, состоящий более чем из 300 000 устройств. Зловред постоянно развивается, добавляются новые функции, исчезают старые. Однако экспертам не совсем ясна цель создания ботнета, так как досих пор он не участвовал во вредоносной деятельности. С другой стороны, даже если бот не используется специально для нанесения вреда, он может тормозить нормальную работу зараженного устройства.

Hajime использует нежелание пользователей «умных» гаджетов менять логин и пароль, установленные производителем. Это значительно облегчает задачу злоумышленникам – им нужно лишь попробовать получить доступ к устройству, используя известный пароль по умолчанию. Кроме того, для многих устройств не выпускаются обновления прошивки. И, наконец, IoT-устройства привлекают киберпреступников, поскольку они чаще всего круглосуточно включены и соединены к интернету.

Угнать за 60 секунд

На конференции Security Analyst Summit эксперт по кибербезопасности Джонатан Андерссон продемонстрировал, как умелый злоумышленник может за секунды создать устройство для угона дрона. С помощью программно-определяемого радио, джойстика от дрона, микрокомпьютера и небольшого количества прочей электроники исследователь собрал устройство, которому дал имя Icarus («Икар»). С его помощью Андерссон настроился на частоту дрона и выяснил детали передачи сигналов между этим дроном и его пультом управления. По мнению эксперта, эта угроза может затронуть всю индустрию дронов – от дешевых игрушек до дорогих профессиональных моделей, потому что все они используют протоколы обмена данными, уязвимые к одному и тому же типу атак. Проблему могло бы решить усиление шифрования, но реализовать такое на практике сложно из-за того, что намногих пультах обновить прошивку невозможно. Кроме того, усиленное шифрование потребует значительных вычислительных мощностей и вызовет дополнительный расход энергии как контроллером, так и дроном.

Угроза взлома дронов может показаться экзотикой. Однако же сами дроны уже выходят из своей узкой ниши и начинают использоваться массово. В декабре прошлого года платформа онлайн-торговли Amazon пробовала использовать дроны для доставки посылок покупателям. Также об экспертиментах с использованием летающих роботов в целях инкассации сообщал Сбербанк [2].

Успехи защитников

После прочтения статьи может сложиться впечатление, что киберпреступники наступают по всем фронтам, захватывая сотни тысяч пользовательских устройств в свои бот-сети, шифруя данные и похищая деньги у банков. Однако и борцы с киберпреступностью также добились успехов.

Одним из наиболее значительных можно считать подробное исследование хакерского тулкита Gray Lambert. Это самый продвинутый на данный момент набор инструментов кибергруппировки Lamberts, которая специализируется на шпионаже, – применяемые ею методы и тактики были описаны в архиве Vault 7, опубликованном Wikileaks. В результате анализа были обнаружены два новых семейства вредоносного программног обеспечения, а исследователям удалось проследить эволюцию атак этой группы за последние 10 лет. Кроме того, исследования вредоносных кодов и APT, проводимые экспертами ИБ по всему миру, позволяют постоянно совершенствовать средства защиты, предотвращая новые, более мощные атаки.

  1. Пресс-релиз «Лаборатории Касперского» – https://www.kaspersky.ru/about/press-releases/2017_how-targeted-attacks-developed-in-q2-of-2017.
  2. Доставка денег беспилотником – http://www.rbc.ru/technology_and_media/16/06/2017/594391f79a79478a62a8409f.

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru